Vor- und Nachteil von Open-Source-Software in puncto Sicherheit Wann quelloffene Software zum Risiko wird

Autor / Redakteur: Elmar Geese / Peter Schmitz

Open-Source-Software (OSS) überzeugt branchenübergreifend unterschiedliche Anwendergruppen, die Prozesse oder Infrastrukturen wirtschaftlich sinnvoll, agil, innovativ und sicher digital abbilden wollen. Dennoch gibt es auch Sicherheitsbedenken. Diese sind jedoch in vielen Fällen unbegründet oder lassen sich mit einer passenden kommerziellen Variante beheben.

Firmen zum Thema

Verfügt ein Unternehmen nicht über genug Personal und Expertise für den Einsatz von Open-Source-Software verliert eine OSS-Community-Lösung ihren Sicherheitsvorteil gegenüber proprietärer Software.
Verfügt ein Unternehmen nicht über genug Personal und Expertise für den Einsatz von Open-Source-Software verliert eine OSS-Community-Lösung ihren Sicherheitsvorteil gegenüber proprietärer Software.
(© Imillian - stock.adobe.com)

Open-Source-Software (OSS) ist unabhängig von einzelnen Anbietern und bietet eine große Komponenten-Auswahl, offene Standards und somit die Kompatibilität zu wichtigen Tools. Sie hat im Vergleich zu proprietären Anbietern, geringere Betriebskosten. Zudem eröffnet sich Unternehmen durch solche Applikationen ein schnellerer und besserer Zugang zu Innovationen. Diese und andere Argumente überzeugen zwei Drittel der Betriebe in Deutschland, denn sie setzen laut einer Bitkom-Studie bereits OSS ein.

Die Befragung liefert weitere interessante Details: So sehen neun Prozent der Studienteilnehmer einen Sicherheitsvorteil in den Updates, die bei OSS in kurzen Zyklen zur Verfügung stehen. Sieben Prozent der Befragten haben hingegen Sicherheitsbedenken und vier Prozent benennen Sicherheitslücken als Nachteil. Dieser vermeintliche Widerspruch lässt sich lösen, wobei die kurze Antwort lautet: Oftmals fehlen Wissen und Fachkräfte, um das volle Potenzial von frei verfügbarer Software auszuschöpfen. Dennoch können Unternehmen auch mit geringeren Kapazitäten Open Source gewinnbringend nutzen. Das wird verständlich, wenn man zunächst betrachtet, was OSS ausmacht.

Offen für die Sharing Economy?

Bei OSS ist der Quellcode offen und frei verfügbar. Eine Firma erhält so eine Vorlage, um eigene Applikationen nach ihren Vorstellungen preiswert und zügig zu entwickeln. Sie profitiert vom Wissen der Community, da in der Regel tausende Entwickler hinter einem Softwareprojekt stehen und dieses ständig verbessern. Dazu muss der Quellcode lediglich auf einer Plattform wie GitHub veröffentlicht sein. Zur freien Verfügung steht der Quellcode auch dann noch, wenn sich für eine der folgenden Versionen die Lizenzbestimmungen ändern sollten.

Das Open-Source-Konzept basiert auf dem Prinzip der Sharing Economy – also Nehmen und Geben. Das kann sowohl ein finanzieller Beitrag als auch ein Beitrag in Form einer technischen Verbesserung sein – etwa indem sich eine Firma in der Community engagiert, an der Weiterentwicklung der Software mitwirkt oder selbst wieder Codes einstellt. Wer dagegen Open-Source-Quellcode für eigene, kommerzielle Zwecke einsetzt, ohne dafür eine Gegenleistung zu erbringen, verstößt gegen die Prinzipien der Sharing Economy.

Systemimmanente Selbstkontrolle

Offene Quellen machen Software anfällig für Manipulationen, könnte argumentieren, wer Sicherheitsbedenken hat. Diese Einschätzung ist jedoch falsch. Die Transparenz von OSS minimiert das Risiko massiv, dass jemand Schadcode in die Software einfügt. Denn die Schwarmintelligenz einer Community ist Hersteller-Teams mit einer begrenzten Personenanzahl in der Regel voraus und entdeckt Schwachstellen schneller und zuverlässiger. Zudem kann die Entwicklergemeinschaft in kurzen Intervallen Updates und Patches bereitstellt, sodass sich Sicherheitslücken schnell schließen lassen. Darüber hinaus wird Open-Source-Code im Wissen seiner Öffentlichkeit produziert, was die Motivation der Beteiligten erhöht, hier mit besonderem Blick auf Qualität zu agieren.

Proprietäre Software hingegen hat neben der Abhängigkeit von einem Hersteller eben diesen entscheidenden Nachteil: Ihr Quellcode lässt sich nicht kontinuierlich einsehen. Was während des Betriebs im Hintergrund läuft, erfährt ein Nutzer nicht, auch wenn es sicherheitsrelevante Aspekte betrifft. Der dauerhafte Zugriff ist deswegen so wichtig, da sich so Expertise auch außerhalb eines einzigen Herstellerunternehmens entwickeln kann. Das ist dringend erforderlich, wenn eine Lösung geprüft werden soll.

Wann die quelloffene Software zum Risiko wird

Erreicht OSS einen hohen Reifegrad, nimmt gelegentlich die Schwarmintelligenz ab, die das Produkt absichert. Dies kann auch bei häufig genutzten Komponenten der Fall sein und tritt natürlich auch bei proprietären Lösungen vergleichbar auf. Hier hilft es, wenn kommerzielle OSS-Hersteller auch diese Komponenten im Auge behalten.

Ein weiteres Sicherheitsrisiko kann sich zudem auf Anwenderseite entwickeln: Wie jedes andere kritische Produktionsmittel auch, müssen auch Open-Source-Komponenten gemanagt werden. Verantwortliche im Unternehmen müssen technische Entwicklungen und Community-Aktivitäten im Blick behalten. Das wiederum setzt voraus, dass genügend Fachkräfte mit spezieller Expertise im Unternehmen arbeiten – doch diese sind quer durch die Branche Mangelware. Außerdem müssen diese Fachkräfte auch die Zeit bekommen, sich vertieft mit der Thematik auseinanderzusetzen. Es ist schwierig, hier hinterher zu kommen, Updates und Patches aufzuspielen und Kompatibilitäten sicherzustellen. Fast jede IT-Abteilung braucht hier guten Herstellersupport.

Die Bedarfslücke sicher schließen

Kommerzielle Open-Source-Angebote schließen diese Bedarfslücke. Sie aggregieren OS-Komponenten zu Produkten, und bieten eigene Open-Source-Lösungen als Enterprise-Versionen an, die Gewährleistung und professionellen Support mit Updates und Patches umfassen und deren Leistungen sich über SLAs und Subskriptionen regeln lassen. Solche Produkte sind einfach installiert und laufen stabil. In dieser Konstellation gewinnen nutzende Unternehmen die Sicherheit einer OSS, ohne selbst den nötigen Aufwand betreiben zu müssen.

Den Sicherheitsvorteil von OSS umsetzen

Der Einsatz von Software ist immer mit einem Risiko verbunden. Im Fall von OSS steigt dieses jedoch unnötig, wenn ein nutzendes Unternehmen intern nicht über genug Personal und Expertise verfügt. In diesem Moment verliert eine OSS-Community-Lösung Sicherheitsvorteile gegenüber proprietärer Software. Denn haben die Inhouse-Experten keine Zeit, oder fehlt die lösungsspezifische Expertise, nützt auch Schwarmintelligenz, Selbstkontrolle und Agilität nichts. Um ein vertretbares Sicherheitsniveau zu erreichen, sollten Unternehmen daher dort auf kommerzielle Open-Source-Varianten setzen, wo keine eigenen Experten verfügbar sind. Hier hilft die ehrliche Selbsteinschätzung, was allein gestemmt werden kann und was sicherer und zuverlässiger von Open-Source-Herstellern beschafft werden sollte.

Über den Autor: Elmar Geese ist Chief Operating Officer (COO) im Management-Team von Greenbone Networks, Spezialist für Schwachstellenanalyse von IT-Netzwerken. Sein Fokus liegt auf Strategie, Prozessoptimierung und Controlling, damit der Mehrwert der Greenbone-Produkte noch besser beim Kunden ankommt. Dabei schöpft er aus einem IT-Erfahrungsschatz von drei Jahrzehnten als Gründer, Manager und Berater.

(ID:47406885)